Курьер привезёт заказ в удобное для Вас время и подождёт, пока определитесь с выбором.
Доставка бесплатна при выкупе хотя бы одной позиции.
Если ничего не подошло, нужно будет оплатить стоимость доставки:
Желаем приятного шоппинга!
Ваш бутик trendsettica
Если ничего не подошло, нужно будет оплатить стоимость доставки:
- В пределах МКАД — 800₽;
- Доставка в Московскую область по договоренности, согласно удалённости от нашего торгового центра.
Желаем приятного шоппинга!
Ваш бутик trendsettica
Персональный онлайн шопинг
Оставьте заявку, и наши консультанты свяжутся с вами в течение 2 часов с 10:00 до 21:00 ежедневно.
Подпишитесь на товар
Когда товар будет снова в наличии, Вам придет уведомление на почту.
Политика в отношении обработки персональных данных
1. Общие положения
2. Правовые основания обработки персональных данных
3. Цели, категории, способы и сроки обработки персональных данных
4. Использование cookie-файлов
5. Обеспечение безопасности персональных данных
6. Регламент реагирования на запросы и обращения субъектов персональных данных
7. Регламент взаимодействия с надзорными органами
8. Заключительные положения
1. Общие положения
1.1. Назначение политики
Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных Индивидуального предпринимателя Романюк Натальи Николаевны (далее — Оператор).
Оператор является оператором персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Политика является общедоступным документом и регламентирует порядок обращения с персональными данными работников, соискателей, клиентов (покупателей) и представителей контрагентов Оператора.
Настоящая Политика разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Основные понятия
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники (ноутбуки, кассовые терминалы, облачные сервисы);
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения данных);
Информационная система персональных данных — совокупность персональных данных, содержащихся в базах данных (Excel-таблицы, CRM, 1С), и обеспечивающих их обработку информационных технологий и технических средств;
Конфиденциальность персональных данных — обязательное для соблюдения Оператором (ИП Романюк Н.Н.) или иным лицом, получившим доступ к персональным данным (бухгалтер, администратор), требование не допускать их раскрытия третьим лицам без согласия субъекта или наличия законного основания;
Обработка персональных данных — любое действие (операция) или их совокупность, включая сбор, запись, систематизацию, накопление, хранение в сейфах и шкафах, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ курьерским службам или банкам), обезличивание, блокирование, удаление и уничтожение персональных данных;
Оператор — Индивидуальный предприниматель Романюк Наталья Николаевна, самостоятельно организующая и осуществляющая обработку персональных данных, а также определяющая цели и состав данных;
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Работнику, Соискателю, Клиенту);
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу (например, передача реквизитов в банк для зарплаты или адреса в СДЭК);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание данных в информационной системе и (или) в результате которых уничтожаются материальные носители (использование шредера для бумажных анкет и черновиков).
1.3. Права и обязанности Оператора
1.3.1. Общие принципы
Обработка персональных данных (далее — ПДн) осуществляется Оператором на законной и справедливой основе. В случаях исполнения трудового договора с работником или договора купли-продажи с клиентом (в т.ч. через интернет-магазин) обработка осуществляется на основании соответствующих договоров и норм права.
1.3.2. Право на проверку данных
Оператор имеет право проверять полноту и точность предоставленных ПДн. В случае выявления недостоверных данных, Оператор имеет право требовать их уточнения или блокировать их обработку до момента предоставления корректных сведений.
1.3.3. Взаимодействие с представителями
При получении ПДн от представителя субъекта (например, по доверенности), Оператор обязан проверить полномочия данного представителя на дачу согласия или передачу документов от имени субъекта.
1.3.4. Получение данных от третьих лиц
Оператор может получать ПДн от лиц, не являющихся субъектами (например, резюме с сайтов hh.ru / rabota.ru), при условии подтверждения такими лицами наличия законных оснований для передачи данных Оператору.
1.3.5. Право на продолжение обработки
В случае отзыва субъектом согласия, Оператор вправе продолжить обработку без согласия при наличии законных оснований (исполнение требований трудового/налогового законодательства, ведение архива или защита интересов Оператора в суде).
1.3.6. Взаимодействие с третьими лицами (Передача или поручение обработки)
Для достижения целей, указанных в настоящей Политике (в том числе для выплаты заработной платы, организации доставки товаров, проведения платежей), Оператор вправе осуществлять передачу (предоставление доступа) или поручение обработки необходимого объема ПДн третьим лицам на основании договора:
• Логистическим партнерам (ООО «СДЭК-ГЛОБАЛ», ООО «Яндекс.Доставка») — для доставки заказов покупателям;
• Банковским организациям — для выплаты заработной платы сотрудникам и проведения оплат от клиентов;
• Привлеченным специалистам (например, бухгалтеру на аутсорсе или системному администратору) — для ведения учета и поддержки систем.
1.3.7. Обязанности третьих лиц
Лицо, осуществляющее обработку по поручению Оператора, обязано соблюдать принципы ФЗ-152, обеспечивать конфиденциальность, безопасность данных и уведомлять Оператора об инцидентах (утечках) в течение 24 часов.
1.3.8. Ответственность
Лицо, действующее по поручению Оператора, не обязано получать отдельное согласие субъекта ПДн. Ответственность перед субъектом за действия указанных лиц несет Оператор.
1.4. Основные обязанности Оператора
1.4.1. Общие обязательства
Оператор не собирает, не обрабатывает и не передает персональные данные (ПДн) третьим лицам без согласия субъекта, если иное не предусмотрено законодательством РФ.
1.4.2. Реакция на инциденты и утечки (Правила 24/72 часа)
В случае установления факта неправомерной или случайной передачи (предоставления, доступа) ПДн, повлекшей нарушение прав субъектов, Оператор обязан уведомить Роскомнадзор:
• в течение 24 часов — об инциденте, его предполагаемых причинах, нанесенном вреде и принятых мерах, а также указать лицо, ответственное за взаимодействие с регулятором;
• в течение 72 часов — о результатах внутреннего расследования инцидента и лицах, действия которых стали его причиной (при наличии).
1.4.3. Работа с неточными и неправомерно полученными данными
• Блокирование: при обращении субъекта или запросе Роскомнадзора Оператор блокирует неправомерно обрабатываемые или неточные ПДн на период проверки.
• Уточнение: если факт неточности подтвержден, Оператор уточняет ПДн в течение 7 рабочих дней и снимает блокирование.
• Уничтожение: если ПДн получены незаконно или не требуются для заявленной цели, Оператор уничтожает их в течение 7 рабочих дней. Если обеспечить правомерность обработки невозможно, данные уничтожаются в течение 10 рабочих дней.
1.4.4. Сроки прекращения обработки и уничтожения
• При достижении цели: Оператор уничтожает ПДн в течение 30 дней с даты достижения цели обработки.
• При отзыве согласия: Если сохранение данных более не требуется законом или договором, Оператор уничтожает ПДн в течение 30 дней с даты получения отзыва.
• При требовании о прекращении обработки: Оператор обязан прекратить обработку в течение 10 рабочих дней (с правом продления на 5 дней при направлении мотивированного уведомления).
1.4.5. Порядок подтверждения уничтожения
Уничтожение ПДн (в том числе через шредер для бумажных носителей и стирание с электронных носителей) подтверждается в соответствии с требованиями Роскомнадзора (Приказ № 179) путем составления Акта об уничтожении и выгрузки из журнала событий (логов) информационной системы.
1.4.6. Невозможность немедленного уничтожения
При отсутствии возможности уничтожения ПДн в установленные сроки, Оператор блокирует такие данные и обеспечивает их уничтожение в срок не более 6 месяцев, если иной срок не установлен законом.
1.5. Основные права субъекта персональных данных
1.5.1. Порядок предоставления согласия
Субъект персональных данных (далее — ПДн) принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие может быть предоставлено в письменной форме, в форме электронного документа, подписанного электронной подписью, либо путем совершения конклюдентных действий (например, проставление «галочки» в чекбоксе на Сайте или заполнение бумажной анкеты в магазине).
1.5.2. Права субъекта ПДн
В целях обеспечения своих законных интересов субъекты ПДн (Работники, Соискатели, Клиенты) или их законные представители имеют право:
• получать полную информацию о факте, целях, правовых основаниях и способах обработки их ПДн Оператором;
• осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии записей, содержащих ПДн субъекта (за исключением случаев, предусмотренных законом);
• требовать от Оператора уточнения своих ПДн, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными или незаконно полученными;
• требовать от Оператора уведомления всех третьих лиц, которым ранее были переданы неверные или неполные данные, обо всех произведенных в них изменениях;
• обжаловать в Роскомнадзор или в судебном порядке любые неправомерные действия или бездействие Оператора;
• на защиту своих прав и законных интересов, включая возмещение убытков и компенсацию морального вреда в судебном порядке.
1.5.3. Правила повторных запросов
Субъект ПДн вправе обратиться к Оператору с повторным запросом о предоставлении информации не ранее чем через 30 дней после первоначального обращения.
• Срок может быть сокращен, если информация не была предоставлена в полном объеме при первом запросе.
• Повторный запрос должен содержать обоснование.
• Оператор вправе отказать в выполнении необоснованного повторного запроса, предоставив мотивированный отказ.
1.5.4. Ограничение прав на доступ
Право субъекта ПДн на доступ к его данным может быть ограничено в соответствии с федеральными законами, в том числе если:
• доступ субъекта к ПДн нарушает права и законные интересы третьих лиц (например, если в документе содержатся данные других сотрудников);
• обработка осуществляется в целях обороны, безопасности государства, охраны правопорядка или противодействия легализации преступных доходов.
2. Правовые основания обработки персональных данных
Обработка персональных данных Оператором осуществляется на основании следующих нормативно-правовых актов и документов:
2.1. Законодательство РФ в сфере труда и налогов:
• Трудовой кодекс РФ (ст. 86–90);
• Налоговый кодекс РФ;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования».
2.2. Договорные обязательства:
• Гражданский кодекс РФ (часть вторая);
• Договоры купли-продажи (оферта), стороной которых является Покупатель;
• Трудовые договоры, заключаемые между Оператором и Работниками;
• Договоры с контрагентами (поставщиками, арендодателями).
2.3. Нормативные акты в сфере торговли и защиты прав потребителей:
• Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
• Постановление Правительства РФ от 31.12.2020 № 2463 (правила продажи товаров).
2.4. Маркетинг и реклама:
• Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе» (в части осуществления рассылок).
2.5. Внутренние документы Оператора:
• Настоящая Политика;
• Приказы и распоряжения ИП Романюк Н.Н. в области защиты персональных данных;
• Согласия субъектов на обработку их персональных данных.
3. Цели, категории, способы и сроки обработки персональных данных
3.1. Принципы обработки
Обработка персональных данных (ПДн) Оператором осуществляется для достижения конкретных, заранее определенных и законных целей. Обработке подлежат только ПДн, которые отвечают целям их обработки. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
3.2. Специальные категории и биометрия
• Оператор не осуществляет обработку специальных категорий ПДн (раса, национальность, политические взгляды, религия, интимная жизнь). Обработка сведений о состоянии здоровья (больничные листы) осуществляется исключительно в рамках трудового и налогового законодательства.
• Сбор и использование видеоизображений в помещениях Оператора осуществляются в целях обеспечения безопасности и контроля сохранности имущества. Данные материалы не используются для идентификации личности (установления личности) субъекта в качестве биометрических данных и обрабатываются на общих основаниях.
3.3. Способы обработки
Оператор осуществляет как автоматизированную обработку ПДн (с использованием ноутбуков, касс и облачных сервисов), так и неавтоматизированную обработку (хранение бумажных анкет и личных дел в сейфах и запираемых шкафах).
3.4. Сроки хранения и уничтожения ПДн
Хранение ПДн осуществляется не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом (например, архивные сроки хранения кадровых документов — до 50 лет). Оператор уничтожает ПДн (в том числе с использованием шредера для бумажных носителей) в следующие сроки:
• достижение целей обработки или утрата необходимости в них — 30 дней;
• отзыв согласия субъектом (если данные более не нужны для закона/договора) — 30 дней;
• требование субъекта об уничтожении неточных или незаконно полученных данных — 7 рабочих дней;
• выявление неправомерной обработки (при невозможности ее легализации) — 10 рабочих дней;
• истечение сроков хранения, установленных законом или договором.
3.5. Подтверждение уничтожения
Факт уничтожения ПДн подтверждается в соответствии с требованиями Роскомнадзора (Приказ № 179) путем составления Акта об уничтожении ПДн и выгрузки из журнала регистрации событий в информационной системе.
3.6. Перечень данных
Полный перечень обрабатываемых ПДн, категории субъектов и конкретные цели зафиксированы в Приложении № 1 к настоящей Политике, утверждаемом Индивидуальным предпринимателем.
4. Использование cookie-файлов
4.1. Интернет-сайт Оператора: https://trendsettica.ru использует файлы cookie. Оператор предупреждает посетителей об использовании таких файлов и запрашивает согласие на их обработку через интерактивный баннер при первом входе на Сайт.
4.2. Файлы cookie, используемые на Сайте Оператора, подразделяются на следующие категории:
• основные (обязательные) — требуются для просмотра Сайта и обеспечения работоспособности его базовых функций (авторизация, сохранение товаров в корзине, безопасность). Без данных файлов корректная работа интернет-магазина невозможна;
• функциональные — позволяют Сайту запоминать выбор, сделанный пользователем (например, регион нахождения, настройки интерфейса), обеспечивая персонализированный сервис;
• аналитические (статистические) — позволяют собирать информацию о том, как посетители используют Сайт (с помощью метрической программы «Яндекс Метрика») для анализа эффективности ресурса и его улучшения. Данные собираются в агрегированном виде.
4.3. Пользователь имеет право самостоятельно управлять настройками cookie-файлов:
• выбрать режим «Принять всё» в баннере согласия (активирует все категории файлов и аналитику);
• выбрать режим «Только обязательные» (оставляет активными только технически необходимые файлы);
• заблокировать или удалить файлы cookie в настройках своего браузера.
4.4. Отказ от использования аналитических и функциональных cookie-файлов не препятствует просмотру товаров на Сайте, но может ограничить доступ к некоторым персонализированным функциям.
5. Обеспечение безопасности персональных данных
5.1. Для обеспечения безопасности персональных данных (ПДн) Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн Субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, а также от иных неправомерных действий.
5.2. Организационные меры включают в себя:
• осуществление функций по организации обработки и обеспечению безопасности персональных данных непосредственно Индивидуальным предпринимателем;
• разработку и поддержание в актуальном состоянии настоящей Политики и иных внутренних документов Оператора в области обработки ПДн;
• установление персональной ответственности работников (администратора, продавца-консультанта, бухгалтера), непосредственно осуществляющих обработку ПДн, и их обязательное ознакомление под роспись с нормами законодательства РФ и локальными актами Оператора;
• проведение оценки вреда, который может быть причинен Субъектам ПДн в случае нарушения законодательства, и обеспечение соразмерности принимаемых мер защиты выявленным угрозам;
• строгий учет материальных носителей ПДн (бумажных анкет, копий документов, личных дел работников) и их хранение в сейфах или запираемых шкафах с ограниченным доступом;
• исключение доступа к персональным данным лиц, не имеющих на то законных оснований или производственной необходимости.
5.3. Технические меры включают в себя:
• определение актуальных угроз безопасности ПДн при их обработке в информационных системах (ноутбуки, кассовые терминалы);
• использование средств защиты информации: обязательная установка и регулярное обновление антивирусного программного обеспечения на рабочих станциях;
• разграничение прав доступа: установление для каждого работника индивидуальных учетных записей и сложных личных паролей для входа в информационные системы;
• обеспечение регулярного резервного копирования данных (бэкапов) для возможности восстановления информации в случае сбоев;
• обнаружение фактов несанкционированного доступа к ПДн и принятие незамедлительных мер по их пресечению и устранению последствий;
• использование шредера (уничтожителя бумаги) для безвозвратного уничтожения материальных носителей (черновиков, копий паспортов, заполненных анкет после их переноса в электронную базу).
5.4. Состав технических и организационных мер (в соответствии с Постановлением Правительства РФ № 1119 и Приказом ФСТЭК № 21) определяется Оператором самостоятельно, исходя из актуальности угроз безопасности и установленного уровня защищенности персональных данных в информационных системах Оператора.
6. Регламент реагирования на запросы и обращения субъектов персональных данных
6.1. Порядок обращения
Субъект персональных данных (далее — ПДн) или его представитель может обратиться к Оператору с устным обращением или письменным запросом на доступ к своим данным. Запрос должен содержать:
• номер, дату выдачи и сведения о выдавшем органе основного документа, удостоверяющего личность субъекта (или его представителя);
• сведения, подтверждающие участие субъекта в отношениях с Оператором (номер и дата договора, дисконтной карты или иные данные);
• подпись субъекта (или представителя).
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
6.2. Сроки и форма предоставления сведений
• Оператор предоставляет сведения о наличии и обработке ПДн безвозмездно в течение 10 рабочих дней с даты получения запроса.
• Срок может быть продлен, но не более чем на 5 рабочих дней, при условии направления субъекту мотивированного уведомления с указанием причин задержки.
• Сведения предоставляются в той форме, в которой направлен запрос (бумажная или электронная), если иное не указано в самом запросе.
6.3. Контроль и доступ
• Функции по приему, регистрации и подготовке ответов на запросы осуществляются непосредственно Индивидуальным предпринимателем с привлечением при необходимости бухгалтера или администратора.
• При предоставлении доступа к ПДн Оператор исключает возможность ознакомления субъекта с персональными данными, относящимися к другим лицам.
6.4. Отказ в предоставлении информации
В случае отказа в предоставлении сведений о наличии ПДн или самих данных, Оператор выдает письменный мотивированный ответ со ссылкой на закон в течение 10 рабочих дней. Короткий срок (до 5 рабочих дней) может быть добавлен к основному сроку при уведомлении субъекта.
6.5. Правила повторных запросов
Субъект ПДн вправе обратиться к Оператору повторно не ранее чем через 30 дней после первоначального обращения. Повторный запрос должен содержать обоснование. Оператор вправе отказать в необоснованном повторном запросе, предоставив доказательства законности отказа.
6.6. Ограничение прав на доступ
Право субъекта на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, если:
• доступ к данным нарушает права и законные интересы третьих лиц (например, других сотрудников);
• обработка осуществляется в целях обороны страны, безопасности государства, охраны правопорядка или противодействия легализации преступных доходов.
7. Регламент взаимодействия с надзорными органами
7.1. В соответствии с требованиями Федерального закона № 152-ФЗ, Оператор обязан предоставлять в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по ее запросу информацию, необходимую для осуществления деятельности указанного органа.
7.2. Сроки предоставления информации:
• Оператор направляет мотивированный ответ на запрос Роскомнадзора в течение 10 рабочих дней с даты его получения.
• Указанный срок может быть продлен, но не более чем на 5 рабочих дней, при условии направления в адрес Роскомнадзора мотивированного уведомления с указанием причин задержки.
7.3. Порядок подготовки ответа:
• Сбор сведений и подготовку документов для ответа на запрос осуществляет непосредственно Индивидуальный предприниматель (Оператор).
• При необходимости к подготовке информации могут привлекаться бухгалтер или администратор, имеющие доступ к соответствующим категориям персональных данных.
7.4. Оператор обеспечивает достоверность и полноту предоставляемых сведений, а также соблюдение установленных законом сроков для предотвращения мер административной ответственности.
8. Заключительные положения
8.1. Настоящая Политика вступает в силу со дня ее утверждения Индивидуальным предпринимателем.
8.2. Контроль исполнения требований настоящей Политики и ее своевременный пересмотр осуществляется непосредственно Индивидуальным предпринимателем.
8.3. Политика подлежит изменению или дополнению в случае принятия новых нормативных актов РФ в области обработки и защиты персональных данных, а также при изменении внутренних процессов Оператора.
8.4. Действующая редакция настоящей Политики хранится в бумажном виде по месту осуществления деятельности Оператора (г. Москва, Пресненская наб., д. 2, ТРЦ «Афимолл Сити»). Ознакомление работников Оператора с настоящей Политикой осуществляется под роспись.
8.5. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора (в т.ч. СДЭК, Яндекс.Доставка), устанавливается в соответствии с условиями заключенных гражданско-правовых договоров и действующим законодательством РФ.
8.6. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных (в том числе работники Оператора: бухгалтер, администратор, продавец-консультант), несут дисциплинарную, материальную, административную или уголовную ответственность в порядке, установленном законодательством РФ и локальными актами Оператора.
8.7. Обратная связь по вопросам защиты и обработки персональных данных:
• Адрес электронной почты: info@trendsettica.ru
• Почтовый адрес для корреспонденции: г. Москва, Пресненская наб., д. 2, ТРЦ «Афимолл Сити».
2. Правовые основания обработки персональных данных
3. Цели, категории, способы и сроки обработки персональных данных
4. Использование cookie-файлов
5. Обеспечение безопасности персональных данных
6. Регламент реагирования на запросы и обращения субъектов персональных данных
7. Регламент взаимодействия с надзорными органами
8. Заключительные положения
1. Общие положения
1.1. Назначение политики
Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных Индивидуального предпринимателя Романюк Натальи Николаевны (далее — Оператор).
Оператор является оператором персональных данных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
Политика является общедоступным документом и регламентирует порядок обращения с персональными данными работников, соискателей, клиентов (покупателей) и представителей контрагентов Оператора.
Настоящая Политика разработана в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Основные понятия
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники (ноутбуки, кассовые терминалы, облачные сервисы);
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения данных);
Информационная система персональных данных — совокупность персональных данных, содержащихся в базах данных (Excel-таблицы, CRM, 1С), и обеспечивающих их обработку информационных технологий и технических средств;
Конфиденциальность персональных данных — обязательное для соблюдения Оператором (ИП Романюк Н.Н.) или иным лицом, получившим доступ к персональным данным (бухгалтер, администратор), требование не допускать их раскрытия третьим лицам без согласия субъекта или наличия законного основания;
Обработка персональных данных — любое действие (операция) или их совокупность, включая сбор, запись, систематизацию, накопление, хранение в сейфах и шкафах, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ курьерским службам или банкам), обезличивание, блокирование, удаление и уничтожение персональных данных;
Оператор — Индивидуальный предприниматель Романюк Наталья Николаевна, самостоятельно организующая и осуществляющая обработку персональных данных, а также определяющая цели и состав данных;
Персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (Работнику, Соискателю, Клиенту);
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу (например, передача реквизитов в банк для зарплаты или адреса в СДЭК);
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание данных в информационной системе и (или) в результате которых уничтожаются материальные носители (использование шредера для бумажных анкет и черновиков).
1.3. Права и обязанности Оператора
1.3.1. Общие принципы
Обработка персональных данных (далее — ПДн) осуществляется Оператором на законной и справедливой основе. В случаях исполнения трудового договора с работником или договора купли-продажи с клиентом (в т.ч. через интернет-магазин) обработка осуществляется на основании соответствующих договоров и норм права.
1.3.2. Право на проверку данных
Оператор имеет право проверять полноту и точность предоставленных ПДн. В случае выявления недостоверных данных, Оператор имеет право требовать их уточнения или блокировать их обработку до момента предоставления корректных сведений.
1.3.3. Взаимодействие с представителями
При получении ПДн от представителя субъекта (например, по доверенности), Оператор обязан проверить полномочия данного представителя на дачу согласия или передачу документов от имени субъекта.
1.3.4. Получение данных от третьих лиц
Оператор может получать ПДн от лиц, не являющихся субъектами (например, резюме с сайтов hh.ru / rabota.ru), при условии подтверждения такими лицами наличия законных оснований для передачи данных Оператору.
1.3.5. Право на продолжение обработки
В случае отзыва субъектом согласия, Оператор вправе продолжить обработку без согласия при наличии законных оснований (исполнение требований трудового/налогового законодательства, ведение архива или защита интересов Оператора в суде).
1.3.6. Взаимодействие с третьими лицами (Передача или поручение обработки)
Для достижения целей, указанных в настоящей Политике (в том числе для выплаты заработной платы, организации доставки товаров, проведения платежей), Оператор вправе осуществлять передачу (предоставление доступа) или поручение обработки необходимого объема ПДн третьим лицам на основании договора:
• Логистическим партнерам (ООО «СДЭК-ГЛОБАЛ», ООО «Яндекс.Доставка») — для доставки заказов покупателям;
• Банковским организациям — для выплаты заработной платы сотрудникам и проведения оплат от клиентов;
• Привлеченным специалистам (например, бухгалтеру на аутсорсе или системному администратору) — для ведения учета и поддержки систем.
1.3.7. Обязанности третьих лиц
Лицо, осуществляющее обработку по поручению Оператора, обязано соблюдать принципы ФЗ-152, обеспечивать конфиденциальность, безопасность данных и уведомлять Оператора об инцидентах (утечках) в течение 24 часов.
1.3.8. Ответственность
Лицо, действующее по поручению Оператора, не обязано получать отдельное согласие субъекта ПДн. Ответственность перед субъектом за действия указанных лиц несет Оператор.
1.4. Основные обязанности Оператора
1.4.1. Общие обязательства
Оператор не собирает, не обрабатывает и не передает персональные данные (ПДн) третьим лицам без согласия субъекта, если иное не предусмотрено законодательством РФ.
1.4.2. Реакция на инциденты и утечки (Правила 24/72 часа)
В случае установления факта неправомерной или случайной передачи (предоставления, доступа) ПДн, повлекшей нарушение прав субъектов, Оператор обязан уведомить Роскомнадзор:
• в течение 24 часов — об инциденте, его предполагаемых причинах, нанесенном вреде и принятых мерах, а также указать лицо, ответственное за взаимодействие с регулятором;
• в течение 72 часов — о результатах внутреннего расследования инцидента и лицах, действия которых стали его причиной (при наличии).
1.4.3. Работа с неточными и неправомерно полученными данными
• Блокирование: при обращении субъекта или запросе Роскомнадзора Оператор блокирует неправомерно обрабатываемые или неточные ПДн на период проверки.
• Уточнение: если факт неточности подтвержден, Оператор уточняет ПДн в течение 7 рабочих дней и снимает блокирование.
• Уничтожение: если ПДн получены незаконно или не требуются для заявленной цели, Оператор уничтожает их в течение 7 рабочих дней. Если обеспечить правомерность обработки невозможно, данные уничтожаются в течение 10 рабочих дней.
1.4.4. Сроки прекращения обработки и уничтожения
• При достижении цели: Оператор уничтожает ПДн в течение 30 дней с даты достижения цели обработки.
• При отзыве согласия: Если сохранение данных более не требуется законом или договором, Оператор уничтожает ПДн в течение 30 дней с даты получения отзыва.
• При требовании о прекращении обработки: Оператор обязан прекратить обработку в течение 10 рабочих дней (с правом продления на 5 дней при направлении мотивированного уведомления).
1.4.5. Порядок подтверждения уничтожения
Уничтожение ПДн (в том числе через шредер для бумажных носителей и стирание с электронных носителей) подтверждается в соответствии с требованиями Роскомнадзора (Приказ № 179) путем составления Акта об уничтожении и выгрузки из журнала событий (логов) информационной системы.
1.4.6. Невозможность немедленного уничтожения
При отсутствии возможности уничтожения ПДн в установленные сроки, Оператор блокирует такие данные и обеспечивает их уничтожение в срок не более 6 месяцев, если иной срок не установлен законом.
1.5. Основные права субъекта персональных данных
1.5.1. Порядок предоставления согласия
Субъект персональных данных (далее — ПДн) принимает решение о предоставлении своих ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие может быть предоставлено в письменной форме, в форме электронного документа, подписанного электронной подписью, либо путем совершения конклюдентных действий (например, проставление «галочки» в чекбоксе на Сайте или заполнение бумажной анкеты в магазине).
1.5.2. Права субъекта ПДн
В целях обеспечения своих законных интересов субъекты ПДн (Работники, Соискатели, Клиенты) или их законные представители имеют право:
• получать полную информацию о факте, целях, правовых основаниях и способах обработки их ПДн Оператором;
• осуществлять свободный бесплатный доступ к своим ПДн, включая право получать копии записей, содержащих ПДн субъекта (за исключением случаев, предусмотренных законом);
• требовать от Оператора уточнения своих ПДн, их блокирования или уничтожения, если данные являются неполными, устаревшими, неточными или незаконно полученными;
• требовать от Оператора уведомления всех третьих лиц, которым ранее были переданы неверные или неполные данные, обо всех произведенных в них изменениях;
• обжаловать в Роскомнадзор или в судебном порядке любые неправомерные действия или бездействие Оператора;
• на защиту своих прав и законных интересов, включая возмещение убытков и компенсацию морального вреда в судебном порядке.
1.5.3. Правила повторных запросов
Субъект ПДн вправе обратиться к Оператору с повторным запросом о предоставлении информации не ранее чем через 30 дней после первоначального обращения.
• Срок может быть сокращен, если информация не была предоставлена в полном объеме при первом запросе.
• Повторный запрос должен содержать обоснование.
• Оператор вправе отказать в выполнении необоснованного повторного запроса, предоставив мотивированный отказ.
1.5.4. Ограничение прав на доступ
Право субъекта ПДн на доступ к его данным может быть ограничено в соответствии с федеральными законами, в том числе если:
• доступ субъекта к ПДн нарушает права и законные интересы третьих лиц (например, если в документе содержатся данные других сотрудников);
• обработка осуществляется в целях обороны, безопасности государства, охраны правопорядка или противодействия легализации преступных доходов.
2. Правовые основания обработки персональных данных
Обработка персональных данных Оператором осуществляется на основании следующих нормативно-правовых актов и документов:
2.1. Законодательство РФ в сфере труда и налогов:
• Трудовой кодекс РФ (ст. 86–90);
• Налоговый кодекс РФ;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования».
2.2. Договорные обязательства:
• Гражданский кодекс РФ (часть вторая);
• Договоры купли-продажи (оферта), стороной которых является Покупатель;
• Трудовые договоры, заключаемые между Оператором и Работниками;
• Договоры с контрагентами (поставщиками, арендодателями).
2.3. Нормативные акты в сфере торговли и защиты прав потребителей:
• Закон РФ от 07.02.1992 № 2300-1 «О защите прав потребителей»;
• Постановление Правительства РФ от 31.12.2020 № 2463 (правила продажи товаров).
2.4. Маркетинг и реклама:
• Федеральный закон от 13.03.2006 № 38-ФЗ «О рекламе» (в части осуществления рассылок).
2.5. Внутренние документы Оператора:
• Настоящая Политика;
• Приказы и распоряжения ИП Романюк Н.Н. в области защиты персональных данных;
• Согласия субъектов на обработку их персональных данных.
3. Цели, категории, способы и сроки обработки персональных данных
3.1. Принципы обработки
Обработка персональных данных (ПДн) Оператором осуществляется для достижения конкретных, заранее определенных и законных целей. Обработке подлежат только ПДн, которые отвечают целям их обработки. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
3.2. Специальные категории и биометрия
• Оператор не осуществляет обработку специальных категорий ПДн (раса, национальность, политические взгляды, религия, интимная жизнь). Обработка сведений о состоянии здоровья (больничные листы) осуществляется исключительно в рамках трудового и налогового законодательства.
• Сбор и использование видеоизображений в помещениях Оператора осуществляются в целях обеспечения безопасности и контроля сохранности имущества. Данные материалы не используются для идентификации личности (установления личности) субъекта в качестве биометрических данных и обрабатываются на общих основаниях.
3.3. Способы обработки
Оператор осуществляет как автоматизированную обработку ПДн (с использованием ноутбуков, касс и облачных сервисов), так и неавтоматизированную обработку (хранение бумажных анкет и личных дел в сейфах и запираемых шкафах).
3.4. Сроки хранения и уничтожения ПДн
Хранение ПДн осуществляется не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом (например, архивные сроки хранения кадровых документов — до 50 лет). Оператор уничтожает ПДн (в том числе с использованием шредера для бумажных носителей) в следующие сроки:
• достижение целей обработки или утрата необходимости в них — 30 дней;
• отзыв согласия субъектом (если данные более не нужны для закона/договора) — 30 дней;
• требование субъекта об уничтожении неточных или незаконно полученных данных — 7 рабочих дней;
• выявление неправомерной обработки (при невозможности ее легализации) — 10 рабочих дней;
• истечение сроков хранения, установленных законом или договором.
3.5. Подтверждение уничтожения
Факт уничтожения ПДн подтверждается в соответствии с требованиями Роскомнадзора (Приказ № 179) путем составления Акта об уничтожении ПДн и выгрузки из журнала регистрации событий в информационной системе.
3.6. Перечень данных
Полный перечень обрабатываемых ПДн, категории субъектов и конкретные цели зафиксированы в Приложении № 1 к настоящей Политике, утверждаемом Индивидуальным предпринимателем.
4. Использование cookie-файлов
4.1. Интернет-сайт Оператора: https://trendsettica.ru использует файлы cookie. Оператор предупреждает посетителей об использовании таких файлов и запрашивает согласие на их обработку через интерактивный баннер при первом входе на Сайт.
4.2. Файлы cookie, используемые на Сайте Оператора, подразделяются на следующие категории:
• основные (обязательные) — требуются для просмотра Сайта и обеспечения работоспособности его базовых функций (авторизация, сохранение товаров в корзине, безопасность). Без данных файлов корректная работа интернет-магазина невозможна;
• функциональные — позволяют Сайту запоминать выбор, сделанный пользователем (например, регион нахождения, настройки интерфейса), обеспечивая персонализированный сервис;
• аналитические (статистические) — позволяют собирать информацию о том, как посетители используют Сайт (с помощью метрической программы «Яндекс Метрика») для анализа эффективности ресурса и его улучшения. Данные собираются в агрегированном виде.
4.3. Пользователь имеет право самостоятельно управлять настройками cookie-файлов:
• выбрать режим «Принять всё» в баннере согласия (активирует все категории файлов и аналитику);
• выбрать режим «Только обязательные» (оставляет активными только технически необходимые файлы);
• заблокировать или удалить файлы cookie в настройках своего браузера.
4.4. Отказ от использования аналитических и функциональных cookie-файлов не препятствует просмотру товаров на Сайте, но может ограничить доступ к некоторым персонализированным функциям.
5. Обеспечение безопасности персональных данных
5.1. Для обеспечения безопасности персональных данных (ПДн) Оператор принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн Субъектов от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, а также от иных неправомерных действий.
5.2. Организационные меры включают в себя:
• осуществление функций по организации обработки и обеспечению безопасности персональных данных непосредственно Индивидуальным предпринимателем;
• разработку и поддержание в актуальном состоянии настоящей Политики и иных внутренних документов Оператора в области обработки ПДн;
• установление персональной ответственности работников (администратора, продавца-консультанта, бухгалтера), непосредственно осуществляющих обработку ПДн, и их обязательное ознакомление под роспись с нормами законодательства РФ и локальными актами Оператора;
• проведение оценки вреда, который может быть причинен Субъектам ПДн в случае нарушения законодательства, и обеспечение соразмерности принимаемых мер защиты выявленным угрозам;
• строгий учет материальных носителей ПДн (бумажных анкет, копий документов, личных дел работников) и их хранение в сейфах или запираемых шкафах с ограниченным доступом;
• исключение доступа к персональным данным лиц, не имеющих на то законных оснований или производственной необходимости.
5.3. Технические меры включают в себя:
• определение актуальных угроз безопасности ПДн при их обработке в информационных системах (ноутбуки, кассовые терминалы);
• использование средств защиты информации: обязательная установка и регулярное обновление антивирусного программного обеспечения на рабочих станциях;
• разграничение прав доступа: установление для каждого работника индивидуальных учетных записей и сложных личных паролей для входа в информационные системы;
• обеспечение регулярного резервного копирования данных (бэкапов) для возможности восстановления информации в случае сбоев;
• обнаружение фактов несанкционированного доступа к ПДн и принятие незамедлительных мер по их пресечению и устранению последствий;
• использование шредера (уничтожителя бумаги) для безвозвратного уничтожения материальных носителей (черновиков, копий паспортов, заполненных анкет после их переноса в электронную базу).
5.4. Состав технических и организационных мер (в соответствии с Постановлением Правительства РФ № 1119 и Приказом ФСТЭК № 21) определяется Оператором самостоятельно, исходя из актуальности угроз безопасности и установленного уровня защищенности персональных данных в информационных системах Оператора.
6. Регламент реагирования на запросы и обращения субъектов персональных данных
6.1. Порядок обращения
Субъект персональных данных (далее — ПДн) или его представитель может обратиться к Оператору с устным обращением или письменным запросом на доступ к своим данным. Запрос должен содержать:
• номер, дату выдачи и сведения о выдавшем органе основного документа, удостоверяющего личность субъекта (или его представителя);
• сведения, подтверждающие участие субъекта в отношениях с Оператором (номер и дата договора, дисконтной карты или иные данные);
• подпись субъекта (или представителя).
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.
6.2. Сроки и форма предоставления сведений
• Оператор предоставляет сведения о наличии и обработке ПДн безвозмездно в течение 10 рабочих дней с даты получения запроса.
• Срок может быть продлен, но не более чем на 5 рабочих дней, при условии направления субъекту мотивированного уведомления с указанием причин задержки.
• Сведения предоставляются в той форме, в которой направлен запрос (бумажная или электронная), если иное не указано в самом запросе.
6.3. Контроль и доступ
• Функции по приему, регистрации и подготовке ответов на запросы осуществляются непосредственно Индивидуальным предпринимателем с привлечением при необходимости бухгалтера или администратора.
• При предоставлении доступа к ПДн Оператор исключает возможность ознакомления субъекта с персональными данными, относящимися к другим лицам.
6.4. Отказ в предоставлении информации
В случае отказа в предоставлении сведений о наличии ПДн или самих данных, Оператор выдает письменный мотивированный ответ со ссылкой на закон в течение 10 рабочих дней. Короткий срок (до 5 рабочих дней) может быть добавлен к основному сроку при уведомлении субъекта.
6.5. Правила повторных запросов
Субъект ПДн вправе обратиться к Оператору повторно не ранее чем через 30 дней после первоначального обращения. Повторный запрос должен содержать обоснование. Оператор вправе отказать в необоснованном повторном запросе, предоставив доказательства законности отказа.
6.6. Ограничение прав на доступ
Право субъекта на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, если:
• доступ к данным нарушает права и законные интересы третьих лиц (например, других сотрудников);
• обработка осуществляется в целях обороны страны, безопасности государства, охраны правопорядка или противодействия легализации преступных доходов.
7. Регламент взаимодействия с надзорными органами
7.1. В соответствии с требованиями Федерального закона № 152-ФЗ, Оператор обязан предоставлять в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) по ее запросу информацию, необходимую для осуществления деятельности указанного органа.
7.2. Сроки предоставления информации:
• Оператор направляет мотивированный ответ на запрос Роскомнадзора в течение 10 рабочих дней с даты его получения.
• Указанный срок может быть продлен, но не более чем на 5 рабочих дней, при условии направления в адрес Роскомнадзора мотивированного уведомления с указанием причин задержки.
7.3. Порядок подготовки ответа:
• Сбор сведений и подготовку документов для ответа на запрос осуществляет непосредственно Индивидуальный предприниматель (Оператор).
• При необходимости к подготовке информации могут привлекаться бухгалтер или администратор, имеющие доступ к соответствующим категориям персональных данных.
7.4. Оператор обеспечивает достоверность и полноту предоставляемых сведений, а также соблюдение установленных законом сроков для предотвращения мер административной ответственности.
8. Заключительные положения
8.1. Настоящая Политика вступает в силу со дня ее утверждения Индивидуальным предпринимателем.
8.2. Контроль исполнения требований настоящей Политики и ее своевременный пересмотр осуществляется непосредственно Индивидуальным предпринимателем.
8.3. Политика подлежит изменению или дополнению в случае принятия новых нормативных актов РФ в области обработки и защиты персональных данных, а также при изменении внутренних процессов Оператора.
8.4. Действующая редакция настоящей Политики хранится в бумажном виде по месту осуществления деятельности Оператора (г. Москва, Пресненская наб., д. 2, ТРЦ «Афимолл Сити»). Ознакомление работников Оператора с настоящей Политикой осуществляется под роспись.
8.5. Ответственность лиц, участвующих в обработке персональных данных на основании поручений Оператора (в т.ч. СДЭК, Яндекс.Доставка), устанавливается в соответствии с условиями заключенных гражданско-правовых договоров и действующим законодательством РФ.
8.6. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных (в том числе работники Оператора: бухгалтер, администратор, продавец-консультант), несут дисциплинарную, материальную, административную или уголовную ответственность в порядке, установленном законодательством РФ и локальными актами Оператора.
8.7. Обратная связь по вопросам защиты и обработки персональных данных:
• Адрес электронной почты: info@trendsettica.ru
• Почтовый адрес для корреспонденции: г. Москва, Пресненская наб., д. 2, ТРЦ «Афимолл Сити».